做安全，忌全网打补丁拔网线，宜迅速精准排查，定位相关资产

图/南鱼

文/尚书

跟四月飞雪一样没有一点点防备，北京一夜入夏。作为女生，小编我的衣柜和体重在近期都处于应急状态。

说到应急，众生皆苦。安全圈一直流传着一个“逢周五爆0day”的梦魇，一旦噩梦照进现实，安全岗位的朋友在周末就可以每人领取一份“排查+打补丁”的焦虑大礼包：

首先是各厂商发送的、同质化严重的漏洞预警邮件撑爆你的邮箱；接下来就是极其消耗时间精力的全网资产排查，外网资产看情况打补丁，内网资产以防万一全都要打，打完还得重启；最后打补丁的过程中如果一不小心影响了业务的正常运转，造成安全事故，扣绩效事小，打脸失节事大。

为了不失节，在业务和安全无法两全的情况下，“拔网线”这种魔幻之举就横空出世了，详请可参见2017年5月Wanna Cry惨剧。

其实信息安全部门在金融企业内部的地位略边缘，多少金融企业的信息安全部门是为了一纸合规和监管而存在？安全事件应急其实就是一个非常好的让安全团队集中体现价值和能力的机会，有限的展示时间，更是要技惊四座。

那么如何才能做好安全事件应急？安全应急整个是一个闭环，事件发生的时候：

第一、确认这个漏洞的影响、利用条件、修复方法、缓解措施等，发送安全应急通知；

第二 、确认公司资产列表情况，是否有存在被攻击条件的系统或主机；

第三、组织应急小组处理存在风险的主机；

第四、确认防护是否有效，回顾整个过程，写入知识库；

第五、从事情看整个安全防护体系，是否有需要优化的地方，形成待办进行优化和跟踪 。

这五个步骤当中最耗费时间和精力的就是第二步，排查资产情况并做出处理，因为大多数安全团队根本不知道企业有多少资产、有哪些资产、都分布在哪？是谁负责？资产之间有没有关联？每各资产对应的业务是什么？

当以上这些问题都处于未知的时候，为了避免失节，要么，花费大量的时间精力去排查，要么，花费大量的时间精力去全覆盖，不管怎样都要花费大量的时间精力，搞得大家都很疲劳，人一疲劳，就容易出错，一出错，还是有可能失节。

所以，最好的解决办法就是所有安全措施都根植于资产，把资产的情况摸透，形成图谱或网状，一台资产存在风险，也许与之相关或相似的其他资产，也存在同类的威胁，这时进行的操作，采取的措施，就是精确打击，不误不漏，提高效率，省时省力，这就是以点打面的高端应急战术。

24节气观星帖

24节气观星帖是数字观星推出的节气小贴士，每月两期。每一期，我们会发布一张节气图，同时附带一些网络安全行业的小知识、小热点。

北京数字观星科技有限公司

数字时代的智能安全运营服务商，基于威胁情报数据，围绕客户资产提供安全运营服务：

- 资产发现与管理；

- 威胁监测与分析；

- 智能化应急响应；

- 漏洞全生命周期管理。